Close
Quer visualizar esta página no seu idioma?
Todos os idiomas
Escolha seu idioma

Política de correção de bugs de segurança

Para a Atlassian, é prioridade garantir que os sistemas dos clientes não sejam comprometidos explorando as vulnerabilidades nos produtos da Atlassian.

Escopo

Esta política descreve como e quando as vulnerabilidades de segurança são resolvidas nos produtos.

Objetivos de Nível de Serviço (SLOs) de atualização de segurança

A Atlassian define Objetivos de Nível de Serviço para corrigir vulnerabilidades de segurança com base no nível de gravidade de segurança e no produto afetado. As correções de segurança nos produtos seguem os cronogramas a seguir:

Objetivos de resolução acelerada

Esses intervalos de tempo se aplicam a:

  • a todos os produtos da Atlassian baseados em nuvem;
  • Qualquer software ou sistema gerenciado pela Atlassian
  • Qualquer software ou sistema rodando na infraestrutura Atlassian
  • Jira Align, versões autogerenciadas e na nuvem

Dependendo do nível de vulnerabilidade, a gente define os seguintes cronogramas para aplicar a correção em um produto após a verificação:

  • Crítica: deve ser corrigida em 10 dias.
  • Alta: deve ser corrigida em 28 dias.
  • Média: deve ser corrigida em 84 dias.
  • Baixa: deve ser corrigida em 175 dias.

Cronogramas de Resolução Estendida

Esses objetivos dos intervalos de tempo são válidos para todos os produtos da Atlassian para Data Center e aplicativos móveis. Os produtos de Data Center são instalados pelos clientes em sistemas por eles gerenciados.

  • Vulnerabilidades de gravidade crítica, alta e média devem ser corrigidas em um produto no prazo de 90 dias após a verificação
  • Vulnerabilidades de gravidade baixa devem ser corrigidas em um produto dentro de 180 dias após a verificação

Modelo de responsabilidade compartilhada

Embora a Atlassian esteja comprometida em oferecer produtos seguros prontos para uso, a gente também confia em um modelo de responsabilidade compartilhada. Esse modelo exige que os clientes implementem práticas que continuem além da implantação e se estendam às fases operacionais. Algumas dessas responsabilidades incluem:

  • Operar o software Atlassian em redes privadas.
  • Garantir a implementação oportuna das correções de segurança assim que elas forem lançadas.
  • Configurar firewalls de aplicativos da web (WAF), VPNs, autenticação multifator e login único.
  • Implementar criptografia e controles de acesso.
  • Fazer backups regulares.
  • Fazer auditorias de segurança regulares.

Vulnerabilidades críticas

Quando vulnerabilidades de segurança críticas forem descobertas pela Atlassian ou relatadas por terceiros, a Atlassian vai:

  • Para produtos na nuvem, a gente vai lançar a nova versão corrigida o mais rápido possível
  • Para produtos autogerenciados, a gente vai:
    • Lançar uma versão com a atualização de segurança para as funções afetadas do produto.
    • Lançar uma nova versão para as funções afetadas do produto no cronograma de lançamento.
    • lançar uma versão com a atualização de segurança para todas as versões LTS suportadas do produto afetado, conforme a Política de término do suporte da Atlassian.

Produto
Política de back port
Exemplo

Jira Software Server e Data Center

Jira Server e Data Center

Jira Service Management Server e Data Center (antes chamado Jira Service Desk)

Lançar novas atualizações de segurança para:

  • Todas as versões designadas como "Versão de suporte de longo prazo" que não atingiram o fim da vida útil
  • Todas as versões de funções lançadas no prazo de 6 meses a partir da data em que a correção foi lançada.

Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:

  • Jira 8.6.x porque o 8.6.0 foi lançado em 17 de dezembro de 2019
  • Jira 8.5.x porque o 8.5.0 foi lançado em 21 de outubro de 2019
  • Jira 8.4.x porque o 8.4.0 foi lançado em 9 de setembro de 2019
  • Jira 8.3.x porque o 8.3.0 foi lançado em 22 de julho de 2019
  • Jira 7.13.x porque o 7.13 é uma versão de Suporte de longo prazo e o 7.13.0 foi lançado em 28 de novembro de 2018

Confluence Server e Data Center

Lançar novas atualizações de segurança para:

  • Todas as versões designadas como "Versão de suporte de longo prazo" que não atingiram o fim da vida útil
  • Todas as versões de funções lançadas no prazo de 6 meses a partir da data em que a correção foi lançada.

Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:

  • Confluence 7.2.x porque o 7.2.0 foi lançado em 12 de dezembro de 2019
  • Confluence 7.1.x porque o 7.1.0 foi lançado em 4 de novembro de 2019
  • Confluence 7.0.x porque o 7.0.0 foi lançado em 10 de setembro de 2019
  • Confluence 6.13.x, porque o 6.13 é uma versão de Suporte de longo prazo e o 6.13.0 foi lançado em 4 de dezembro de 2018

Bitbucket Server e Data Center

Lançar novas atualizações de segurança para:

  • Todas as versões designadas como "Versão de suporte de longo prazo" que não atingiram o fim da vida útil
  • Todas as versões de funções lançadas no prazo de 6 meses a partir da data em que a correção foi lançada.

Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:

  • Bitbucket 6.9.x porque o 6.9.0 foi lançado em 10 de dezembro de 2019
  • Bitbucket 6.8.x porque o 6.8.0 foi lançado em 6 de novembro de 2019
  • Bitbucket 6.7.x, pois a versão 6.7.0 foi lançada em 1 de outubro de 2019
  • Bitbucket 6.6.x porque o 6.6.0 foi lançado em 27 de agosto de 2019
  • Bitbucket 6.5.x porque o 6.5.0 foi lançado em 24 de julho de 2019

O Bitbucket 6.3.0 foi lançado em 14 de maio de 2019, mais de 6 meses antes da data da correção. Se fosse designado como uma versão de Suporte de longo prazo, também seria produzida uma versão de correção de bug.

Todos os outros produtos (Bamboo, Crucible, Fisheye, etc)

Versões de atualização de segurança serão lançadas apenas para as versões atual e anterior do função.

Se uma atualização de segurança crítica do Bamboo for desenvolvida em 1º de janeiro de 2020, as seguintes novas versões de atualização de segurança devem ser desenvolvidas:

  • Bamboo 6.10.x porque foi lançado em 17 de setembro de 2019 e é a versão atual
  • Bamboo 6.9.x porque o 6.9.0 é a versão anterior

Para Crowd, Fisheye e Crucible, a versão com a atualização de segurança vai ser lançada para a versão mais recente do produto.

Exemplos de correções de vulnerabilidades críticas de produtos autogerenciados:

Se a correção de uma vulnerabilidade crítica foi desenvolvida em 1º de fevereiro de 2024, por exemplo, as seguintes versões receberiam a atualização de segurança:

Produto

Exemplo

Jira Software

Exemplo

Jira Software 9.13.x, pois 9.13.0 é a versão de funções mais recente

Exemplo

Jira Software 9.12.x, pois 9.12.0 é a Versão de Suporte de Longo Prazo mais recente

Exemplo

Jira Software 9.4.x, pois 9.4.0 é a versão de suporte de longo prazo anterior

Jira Service Management

Exemplo

Jira Service Management 5.13.x, pois 5.13.0 é a versão de funções mais recente

Exemplo

Jira Service Management 5.12.x, pois 5.12.0 é a Versão de Suporte de Longo Prazo

Exemplo

Jira Service Management 5.4.x, pois 5.4.0 é a segunda versão de suporte de longo prazo suportada mais recente

Confluence

Exemplo

Confluence 8.7.x, pois 8.7.0 é a versão de funções mais recente

Exemplo

Confluence 8.5.x, pois 8.5.0 é a Versão de Suporte de Longo Prazo mais recente

Exemplo

Confluence 7.19.x pois 7.19.0 é a segunda versão mais recente da Versão de Suporte de Longo Prazo

Bitbucket

Exemplo

Bitbucket 8.17.x, pois 8.17.0 é a versão de funções mais recente

Exemplo

Bitbucket 8.9.x, pois 8.9.0 é a Versão de Suporte de Longo Prazo mais recente

Exemplo

Bitbucket 7.21.x pois 7.21.0 é a segunda versão mais recente da Versão de Suporte de Longo Prazo

Bamboo

Exemplo

Bamboo 9.5.x, pois 9.5.0 é a versão de funções mais recente

Exemplo

Bamboo 9.2.x, pois 9.2.0 é a Versão de Suporte de Longo Prazo mais recente

Crowd

Exemplo

Crowd 5.3.x pois 5.3.0 é a versão de funções mais recente

Fisheye/Crucible

Exemplo

Fisheye/Crucible 4.8.x, pois 4.8.0 é a versão de funções mais recente

Nenhuma outra versão do produto receberia novas atualizações de segurança.

Upgrades frequentes garantem a segurança das instâncias do produto. É recomendado usar a versão mais recente com a atualização de segurança para as funções ou a versão LTS do produto.

Vulnerabilidades não críticas

Quando itens de segurança de gravidade Alta, Média ou Baixa forem descobertos, a Atlassian vai incluir uma atualização de segurança nos objetivos de nível de serviço listados no início deste documento. Se possível, a correção também pode ser adaptada para versões de suporte de longo prazo. A viabilidade da adaptação é influenciada por vários fatores, incluindo dependências de software, modificações arquitetônicas e problemas de compatibilidade, entre outros.

Para garantir que suas instalações contenham as correções de segurança mais recentes, faça upgrade sempre que uma versão de atualização de segurança estiver disponível.

Outras informações

O nível de gravidade das vulnerabilidades é calculado com base nos níveis de gravidade dos itens de segurança.

As políticas da Atlassian são sempre avaliadas com base nos comentários dos clientes e eventuais atualizações ou alterações são apresentadas nesta página.

Perguntas frequentes (FAQ)

O que é um modelo de responsabilidade compartilhada? Copy link to heading Copied! Exibir +
  

Um acordo entre um fornecedor como a Atlassian e os clientes para implementar as práticas recomendadas que persistem além da implantação inicial e se estendem até as fases operacionais. Para mais informações, consulte a checklist de segurança e responsabilidades compartilhadas do Data Center.
O que é a Versão de Suporte de Longo Prazo? (exemplo: Jira Software 10.3 LTS) Copy link to heading Copied! Exibir +
  

As Versões de Suporte de Longo Prazo foram feitas para clientes do Data Center que preferem ter mais tempo para upgrades de versões com novas funções, mas ainda precisam de atualizações de segurança. Alguns produtos vão designar uma versão específica como uma versão de suporte de longo prazo, indicando que as atualizações de segurança vão ser oferecidas durante todo o período de suporte de dois anos.
O que é a versão de funções? (exemplo: Jira Software 10.1) Copy link to heading Copied! Exibir +
  

Uma versão de função é uma versão que não foi designada como versão LTS. Em vez disso, ele contém novas funções, alterações nas plataformas compatíveis (como bancos de dados, sistemas operacionais, versões do Git) ou remoção de funções.

Saiba mais sobre a Política de atualização de segurança da Atlassian .
O que é uma versão de correção de erros? (exemplo: Jira Software 10.2.1) Copy link to heading Copied! Exibir +
  

As versões de atualização de segurança podem incluir aprimoramentos na estabilidade e no desempenho, além de solucionar bugs de funcionalidade e vulnerabilidades de segurança. Dependendo da natureza das correções, elas podem introduzir pequenas alterações nas funções existentes. No entanto, eles não incluem novas funções ou alterações de alto risco para que possam ser adotados com rapidez. A gente recomenda que você atualize agora mesmo para a versão mais recente de atualização de segurança da sua versão atual.
Onde posso encontrar os últimos lançamentos? Copy link to heading Copied! Exibir +
  

Você pode verificar o portal de download de software ou visitar as páginas de download específicas do produto.
O que é uma versão compatível? Copy link to heading Copied! Exibir +
  

A Atlassian é compatível com versões de até dois anos após o lançamento inicial da função ou do suporte de longo prazo (LTS). Por exemplo, a gente oferece suporte técnico para o Jira Software 9.14.x por dois anos após o lançamento do Jira 9.14.0.
Onde encontro uma lista de versões compatíveis? Copy link to heading Copied! Exibir +
  

Consulte a Política de término de suporte do Atlassian Data Center para obter as informações mais atualizadas.
O que é uma vulnerabilidade? Copy link to heading Copied! Exibir +
  

Vulnerabilidades são fraquezas ou falhas que podem ser exploradas por ameaças ou riscos. No contexto da segurança cibernética, a vulnerabilidade pode ser uma falha no software, na rede ou no sistema que permite que usuários não autorizados obtenham acesso e causem danos. Ela pode ser um software desatualizado, senhas fracas ou falta de criptografia de dados.
O que é a atualização de segurança? Copy link to heading Copied! Exibir +
  

A atualização de segurança é o conjunto de alterações feitas em sistemas ou aplicativos para resolver vulnerabilidades que poderiam ser exploradas por hackers. Essas vulnerabilidades, também conhecidas como bugs de segurança, podem levar ao acesso não autorizado, roubo de dados ou outras atividades maliciosas.
Onde posso encontrar mais informações sobre vulnerabilidades corrigidas em produtos do Data Center? Copy link to heading Copied! Exibir +
  

A Atlassian publica Alertas de Segurança mensais e disponibiliza acesso ao Portal de Divulgação de Vulnerabilidades. O Portal de Divulgação de Vulnerabilidades é o hub central para compartilhar informações sobre vulnerabilidades encontradas nos produtos. Atualizado todo mês com o lançamento do novo Boletim de Segurança, o portal facilita a pesquisa e o acesso a boletins anteriores.